Отладчик системного процесса + RootKit

Добрый вечер!

К сожалению, суть проблемы до конца не ясна, поэтому изложу как было:

Подхватил сегодня вирус (утилита CureIT! удалила его как Trojan.WinLock.55) - операционная система блокировалась, любые действия были не доступны, т.к. настоятельно предлагалось отправить СМС на указанный номер, чтобы можно было разблокировать систему.

Т.к. никаких действий совершить не получалось (кроме reboot), пришлось отправить СМС (~ 300 руб.), после чего был получен код для разблокирования :(

При проверке, AVZ ругается на внезапно появившийся отладчик системного процесса - explorer.exe, кроме того, появился некий троян, который утилита "подозревает" как KeyLogger и, который, CureIT! не видит.

Также, если это как-то поможет, хочу заметить, что при выполнении скрипта лечения/карантина в AVZ с включенным антивирусом, у AVZ появляются подозрения на наличие RootKit (при этом драйвер не загружается, т.к. антивирус блокирует указанный файл).

Огромная просьба, помогите разобраться, т.к. есть опасение, что предложение "отправить СМС для разблокирования" как-то связано с появлением всех вышеуказанных проблем.

Заранее спасибо.

P.S. Возможно, несколько путанно объяснил суть проблемы... Никаких внешних проявлений, кроме "СМС" и появления подозрений при выполннии скрипта, пока заметить не удалось.

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('D:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('D:\Program Files\Microsoft Common\svchost.exe');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{42F2C9BA-614F-47C0-B3E3-ECFD34EED658}');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=44608[/URL]

3. Повторите логи.

Карантин отправил. Выкладываю логи после выполнения скрипта.

Ничего зловредного в логах нет. Что с проблемами?

Предложение по СМС не появляется с момента удаления Trojan.WinLock.55

Что касается подозрения на наличие RootKit, то для этого необходимо попробовать выполнить скрипт лечения при включенном антивирусе.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

При включенном антивирусе (Symantec) происходит следующее:

Троянец в D:\WINDOWS\system32\Drivers\utg4njgy.sys

[QUOTE=Cyanide;393398]
При включенном антивирусе (Symantec) происходит следующее:

Троянец в D:\WINDOWS\system32\Drivers\utg4njgy.sys[/QUOTE]
Это драйвер AVZ.

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

Выполните эту инструкцию [url]http://virusinfo.info/showthread.php?t=3519[/url] и загрузите полученный карантин через форму [url]http://virusinfo.info/index.php?page=uploadclean[/url] После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

Если возможно отвлечь Вас еще на пару минут - скрипт сейчас выполняется, после выполнения выложу "Поиск маскировки процессов и драйверов".

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Файл сохранён как 090427_022045_virusinfo_files_HOME_49f4de3de278e.zip
Размер файла 2354039
MD5 34847157638dca61b4d184c95e16974e

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

И вот еще вопрос возник:

При просмотре автокарантина обнаружил следующее - Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\msvcrt57.dll)

Вопрос в следующем: ранее данный файл находился под подозрением как KeyLogger или троян. Так почему он снова появился? Если при выполнении скрипта он (файл), якобы, был удален.

Похоже, что файла как раз нет (ошибка карантина). А вот откуда ссылка на него вылезла - это интересно. Поищите в AVZ по реестру упоминание о msvcrt57.dll.

[QUOTE=Cyanide;393402]
Файл сохранён как 090427_022045_virusinfo_files_HOME_49f4de3de278e.zip
Размер файла 2354039
MD5 34847157638dca61b4d184c95e16974e[/QUOTE]
[URL]http://virusinfo.info/showpost.php?p=393413&postcount=879[/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.fra[/B][*] d:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.Small.hz[/B] ( DrWEB: Trojan.DownLoad.5244, BitDefender: Gen:Trojan.Heur.GM.4004408108 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]